네트워크 보안 - Spoofing · Sniffing · DoS/DDoS · 네트워크 구조 완전 정리

Phase 2  |  Network Security

Spoofing · Sniffing · DoS/DDoS · 네트워크 구조 완전 정리

ARP/IP/DNS Spoofing · 스니핑 기법 · DoS 공격 유형 · L4/L7 스위치 · 사내망 3-Tier 구조까지

01 Spoofing 공격 — 계층별 분류

ARP Spoofing (L2) — MITM 기반

ARP Spoofing 공격 흐름

1

공격자가 위조 ARP Reply 브로드캐스트 — "나(공격자 MAC)가 Gateway IP다"

↓

2

피해자 ARP Cache 오염 — Gateway IP → 공격자 MAC 매핑 저장

↓

3

피해자 트래픽이 공격자를 경유 → 공격자 IP Forwarding으로 정상처럼 릴레이

↓

4

MITM 성립 — 평문 트래픽 열람 / 세션 탈취 / 데이터 변조 가능

ARP Redirect

• 공격자가 라우터/게이트웨이로 위장
• 외부 통신 전체 트래픽 가로채기
• IP Forwarding 활성화로 피해자 인지 차단
• 대응: 정적 ARP, DAI(Dynamic ARP Inspection)

탐지 및 대응

• 동일 IP에 다수 MAC 변경 시 경보
• ArpWatch, XArp로 Cache 변화 모니터링
• 802.1X + DAI — 스위치 레벨 검증
• TLS/HTTPS로 도청 방지 (근본 대책)

IP Spoofing (L3)

항목	내용
원리	IP 패킷의 Source IP 필드를 위조해 전송
목적	인증 우회, 공격 출처 은닉, 반사 공격 피해자 지정
결합 공격	SYN Flood, Smurf Attack, DNS Amplification과 주로 결합
한계	TCP 3-Way Handshake 필요 서비스는 SYN+ACK 수신 불가 → UDP/ICMP 기반에 주로 활용
대응	BCP38(Ingress Filtering), uRPF — ISP 레벨에서 위조 IP 패킷 차단

DNS Spoofing / Cache Poisoning (L7)

DNS Cache Poisoning 공격 흐름

1

피해자가 DNS 서버에 도메인 질의 전송 (Transaction ID + Source Port 포함)

↓

2

공격자가 위조 DNS 응답을 대량 전송 — Transaction ID + Source Port 추측 or 스니핑

↓

3

위조 응답이 정상 DNS 응답보다 먼저 도착 → DNS Cache에 저장

↓

4

사용자가 정상 URL 입력해도 공격자 서버 IP로 연결 → 피싱/악성코드 배포

성공 조건 3가지  |  Domain Name + Source Port + Transaction ID 세 가지가 모두 일치해야 Cache에 저장됨. 대응: DNSSEC(응답 서명 검증), Source Port 랜덤화, 0x20 인코딩

Email Spoofing

원리  |  SMTP는 기본적으로 발신자 인증이 없어 From 헤더를 임의 조작 가능. 대응: SPF(발신 서버 IP 검증) + DKIM(서명 기반 무결성) + DMARC(정책 기반 처리) 3종 조합 필수.

02 Sniffing 공격 기법

네트워크 트래픽을 도청해 평문 데이터(계정, 세션 토큰, 민감정보)를 수집하는 공격. 위치 확보가 핵심이다.

기법	원리	계층	대응
MAC Flooding	스위치 MAC Table을 가짜 MAC으로 포화 → 허브처럼 브로드캐스트 유도	L2	Port Security, MAC Address 제한
ARP Spoofing	ARP Cache 오염 → 트래픽 자신 경유 (MITM)	L2/L3	DAI, 정적 ARP, ARP 모니터링
ICMP Redirect	ICMP Type 5로 라우팅 경로 변경 → 트래픽 우회	L3	ICMP Redirect 수신 비활성화
DNS Spoofing	Cache 오염으로 트래픽을 공격자 서버로 유도	L7	DNSSEC, HTTPS 강제

근본 대응  |  스니핑 자체를 막는 것보다 TLS/HTTPS 암호화로 도청해도 의미 없게 만드는 것이 실무 핵심. 평문 프로토콜(HTTP, FTP, Telnet)은 즉시 암호화 버전으로 전환.

Pharming

공격 특징

• 정상 URL 입력해도 가짜 사이트로 연결
• DNS Cache 오염 또는 Hosts 파일 변조 기반
• 사용자가 URL 확인해도 탐지 어려움
• 금융정보, 자격증명 탈취 목적

Phishing과의 차이

• Phishing: 가짜 링크를 클릭하도록 유도
• Pharming: 정상 URL을 입력해도 가짜 사이트
• Pharming이 탐지 더 어려움
• 대응: HTTPS + 인증서 검증, DNSSEC

03 DoS / DDoS 공격

DoS (Denial of Service)

• 단일 공격자 → 단일 대상 (1:1)
• 자원 고갈로 서비스 불가 — Availability 공격
• IP 차단으로 비교적 대응 쉬움

DDoS (Distributed DoS)

• 다수 좀비(Botnet) → 단일 대상 (N:1)
• C&C 서버가 좀비 봇넷 제어
• 출처 다양 → 단순 IP 차단 무효
• 대역폭 포화 → ISP 레벨 대응 필요

DoS 공격 유형 상세

네트워크 대역폭

ICMP Flood (Smurf)

IP Spoofing + Broadcast ICMP → 다수 응답이 피해자로 집중. Amplification + Reflection 구조

네트워크 대역폭

UDP Flood

임의 포트로 대량 UDP 전송. ICMP Unreachable 응답 생성으로 자원 추가 소모

시스템 자원

SYN Flood

SYN 전송 후 ACK 미응답 → Backlog Queue 고갈. SYN Cookie로 대응

시스템 자원

Ping of Death

MTU 초과 ICMP 패킷 전송. 재조립 시 버퍼 오버플로우 유발. 구형 OS 대상

시스템 자원

Teardrop

Fragment Offset 중첩 조작 → 재조립 과정 크래시. IDS 우회에도 활용

애플리케이션

HTTP GET Flood

정상 HTTP 요청을 대량 전송. 서버 처리 자원 고갈. 봇넷 기반 DDoS에 주로 사용

애플리케이션

Slowloris

HTTP Header를 의도적으로 미완성 전송 → Connection Pool 점유. 소수 연결로 서버 마비 가능

애플리케이션

RUDY Attack

Content-Length를 크게 설정 후 데이터를 극히 느리게 전송 → 서버 대기 상태 강제 유지

Slowloris vs RUDY 비교

항목	Slowloris	RUDY
공격 위치	HTTP Header (요청 헤더 미완성)	HTTP Body (데이터 전송 지연)
원리	Keep-Alive + 불완전 헤더 유지	Content-Length 선언 후 초저속 전송
필요 대역폭	매우 낮음	매우 낮음
탐지 난이도	높음 (정상 요청처럼 보임)	높음 (정상 POST처럼 보임)
대응	연결 타임아웃 단축, 연결 수 제한	최소 전송 속도 임계값 설정

DDoS 대응 전략

대응 영역	방법	설명
대역폭 공격	ISP 업스트림 필터링, CDN	공격 트래픽을 네트워크 가장자리에서 흡수
SYN Flood	SYN Cookie	Backlog 사용 없이 연결 유효성 검증
Smurf	Directed Broadcast 차단, BCP38	반사 공격 원천 차단
Application L7	WAF, Rate Limiting, CAPTCHA	비정상 요청 패턴 탐지 및 차단
Slow Attack	연결 타임아웃 단축, 최소 속도 설정	지연 연결 강제 종료

04 멀티레이어 스위치 — L2 / L3 / L4 / L7

현대 스위치는 단순 L2 MAC 전달을 넘어 라우팅, 로드밸런싱, 콘텐츠 인식까지 담당한다.

L2

MAC 기반 Switching

MAC Table 기준 프레임 전달. 기본 스위칭

L3

IP 기반 Routing

VLAN 간 라우팅. 정책 ACL 적용 가능

L4

Port 기반 Load Balancing

IP+Port 기준 트래픽 분산. Session 단위 처리

L7

Content 기반 제어

URL/도메인 인식. 서비스별 다른 서버 분기

L4 Switch vs L7 Switch

항목	L4 Switch	L7 Switch
분산 기준	IP + Port	URL, 도메인, HTTP 헤더, 쿠키
인식 범위	Transport Layer 까지	Application Layer 전체
처리 속도	빠름	상대적으로 느림 (딥 패킷 검사)
사용 사례	서버 부하 분산 (SLB), 공인 IP 1개 → 내부 서버 분산	www vs m 도메인 분기, A/B 배포, WAF 연동
보안 활용	DDoS Rate Limiting	WAF, SQL Injection 탐지, 콘텐츠 필터링

05 사내망 구조 — 3-Tier Architecture

대규모 기업 네트워크는 Access / Distribution / Core 3계층으로 구성해 확장성과 안정성을 확보한다.

Core Layer

고속 백본 네트워크. 모든 Distribution 레이어 연결. 이중화 구성 필수. 장애 시 전체 영향 → 고가용성 설계

Distribution Layer

정책 적용 계층. ACL, Routing, QoS, VLAN 간 라우팅 처리. L3 스위치 주로 배치

Access Layer

사용자 단말 최종 연결. PoE(IP Phone, AP), Port Security, 802.1X 인증 적용

Subnet 분리 목적

브로드캐스트 도메인 분리

• VLAN으로 네트워크 분할
• 불필요한 브로드캐스트 차단
• 네트워크 성능 향상

보안 격리

• 부서별 트래픽 분리
• 침해사고 확산 방지
• ACL로 접근 제어

트래픽 효율화

• 로컬 트래픽은 로컬에서 처리
• Core 대역폭 절약
• QoS 적용 용이

대규모 캠퍼스 / 소규모 홈 네트워크

기업 캠퍼스 네트워크

• 건물 간 Core 스위치 중심 연결
• Full Mesh에 가까운 이중화 구조
• 장애 시 우회 경로 자동 확보 (STP, OSPF)
• 구성: Backbone Switch → Firewall → Router → Server Farm

소규모 홈/SOHO 네트워크

• PC → 공유기(Router) → 모뎀 → Internet
• 공유기가 Gateway + DHCP + NAT 통합 수행
• 사설 IP(192.168.x.x) ↔ 공인 IP 변환
• 포트 포워딩으로 내부 서버 외부 노출 가능

06 공격 흐름 & 방어 설계 종합

공격 단계별 흐름

Port Scan정찰

→

Spoofing신원 위조

→

Sniffing트래픽 도청

→

Pharming경로 하이재킹

→

DoS/DDoS서비스 마비

단계별로 공격 복잡도 및 탐지 난이도 상승

영역별 방어 전략

공격 영역	핵심 대응 기술	적용 위치
Port Scan	IDS/IPS 탐지 룰, Rate Limiting, 방화벽 Default Deny	네트워크 경계
ARP Spoofing	Dynamic ARP Inspection(DAI), 정적 ARP, ArpWatch	Access 스위치
IP Spoofing	BCP38 Ingress Filtering, uRPF	ISP/라우터
DNS Spoofing	DNSSEC, 신뢰할 수 있는 DNS 서버, Source Port 랜덤화	DNS 서버
Sniffing	TLS/HTTPS 암호화 (모든 평문 프로토콜 전환)	엔드-투-엔드
DoS/DDoS	WAF, CDN, SYN Cookie, Rate Limiting, ISP 업스트림 필터링	다층 방어
Email Spoofing	SPF + DKIM + DMARC 3종 조합	메일 서버